Operasi malware GodLoader baru menginfeksi 17.000 sistem setidaknya sejak Juni 2024, ini terjadi akibat penyelahgunaan mesin gim open source populer yang disebut Godot Engine.

Penjahat dunia maya telah memanfaatkan Godot Engine untuk mengeksekusi kode GDScript yang dibuat khusus yang memicu perintah jahat dan mengirimkan malware.

Teknik ini tetap tidak terdeteksi oleh hampir semua mesin antivirus di VirusTotal. Tidak mengherankan bahwa pelaku ancaman terus mencari alat dan teknik baru yang dapat membantu mereka mengirimkan malware sambil menghindari deteksi oleh kontrol keamanan, bahkan saat para peneliti keamanan terus membangun pagar pembatas baru.

Baca juga: BootKitty Malware Khusus Linux

Lintas Platform

Penambahan terbaru adalah Godot Engine, platform pengembangan gim yang memungkinkan pengguna untuk mendesain gim 2D dan 3D di seluruh platform, termasuk:

• Windows.
• MacOS.
• Linux.
• Android.
• IOS.
• PlayStation.
• Xbox.
• Nintendo Switch.
• Dan web.

Dukungan multi-platform juga menjadikannya alat yang menarik di tangan para penyerang yang kini dapat memanfaatkannya untuk menargetkan dan menginfeksi perangkat dalam skala besar, yang secara efektif memperluas permukaan serangan.

Fleksibilitas Godot Engine telah menjadikannya sasaran bagi para penjahat dunia maya, yang memungkinkan malware lintas-platform yang tersembunyi seperti GodLoader menyebar dengan cepat dengan memanfaatkan kepercayaan pada platform sumber terbuka.

Fleksibilitas Godot Engine telah menjadikannya sasaran bagi para penjahat dunia maya, yang memungkinkan malware lintas-platform yang tersembunyi seperti GodLoader menyebar dengan cepat memanfaatkan kepercayaan pada platform sumber terbuka.

Bagi 1,2 juta pengguna game yang dikembangkan Godot, implikasinya sangat mendalam, tidak hanya untuk perangkat mereka tetapi juga untuk integritas ekosistem game itu sendiri. Ini adalah peringatan bagi industri untuk memprioritaskan langkah-langkah keamanan dunia maya lintas platform yang proaktif untuk tetap berada di depan tren yang mengkhawatirkan ini.

Baca juga: Menyembunyikan Malware dalam File Zip

Stargazers Ghost Network

Yang membuat operasi ini menonjol adalah ia memanfaatkan Stargazers Ghost Network dalam hal ini, sekumpulan sekitar 200 repositori GitHub dan lebih dari 225 akun pals sebagai vektor distribusi untuk GodLoader.

Akun-akun ini telah menjadi bintang repositori jahat yang mendistribusikan GodLoader, membuatnya tampak sah dan aman. Repositori tersebut dirilis dalam empat gelombang terpisah, yang terutama menargetkan pengembang, gamer, dan pengguna umum.

Serangan tersebut, yang diamati pada tanggal 12 September, 14 September, 29 September, dan 3 Oktober 2024, telah ditemukan menggunakan file yang dapat dieksekusi Godot Engine, yang juga dikenal sebagai file pack (atau .PCK), untuk menjatuhkan malware loader.

Yang kemudian bertanggung jawab untuk mengunduh dan mengeksekusi payload tahap akhir seperti RedLine Stealer dan penambang mata uang kripto XMRig dari repositori Bitbucket.

Selain itu, loader tersebut menyertakan fitur untuk melewati analisis di lingkungan sandbox dan virtual serta menambahkan seluruh drive C:\ ke daftar pengecualian Microsoft Defender Antivirus untuk mencegah deteksi malware.

Artefak GodLoader terutama ditujukan untuk menargetkan mesin Windows, meskipun mereka mencatat bahwa sangat mudah untuk mengadaptasinya guna menginfeksi sistem macOS dan Linux.

Terlebih lagi, meskipun rangkaian serangan saat ini melibatkan pelaku ancaman yang membuat executable Godot Engine khusus untuk penyebaran malware, serangan tersebut dapat ditingkatkan ke tingkat yang lebih tinggi dengan merusak gim sah buatan Godot setelah memperoleh kunci enkripsi simetris yang digunakan untuk mengekstrak file .PCK.

Namun, serangan semacam ini dapat dihindari dengan beralih ke algoritma kunci asimetris (alias kriptografi kunci publik) yang mengandalkan pasangan kunci publik dan privat untuk mengenkripsi/mendekripsi data.

Baca juga: Malware Dropper Teror Indonesia dan Dunia

Rentannya Godot

Menanggapi temuan tersebut, Tim Keamanan Godot mengatakan bahwa Godot Engine adalah sistem pemrograman dengan bahasa skrip dan mirip dengan runtime Python dan Ruby, mendesak pengguna untuk memastikan bahwa file yang dapat dieksekusi yang diunduh ditandatangani oleh pihak tepercaya dan menghindari menjalankan perangkat lunak yang diretas.

Ada kemungkinan untuk menulis program jahat dalam bahasa pemrograman apa pun,” demikian pernyataan yang disampaikan. “Kami tidak yakin bahwa Godot lebih atau kurang cocok untuk melakukannya dibandingkan program sejenis lainnya.

operasi jahat tersebut menjadi pengingat lain tentang bagaimana pelaku ancaman sering kali memanfaatkan layanan dan merek yang sah untuk menghindari mekanisme keamanan, yang mengharuskan pengguna mengunduh perangkat lunak hanya dari sumber tepercaya.

Pelaku ancaman telah memanfaatkan kemampuan skrip Godot untuk membuat loader khusus yang tidak terdeteksi oleh banyak solusi keamanan konvensional,”. “Karena arsitektur Godot memungkinkan pengiriman muatan yang tidak bergantung pada platform, penyerang dapat dengan mudah menyebarkan kode berbahaya di Windows, Linux, dan macOS, terkadang bahkan menjelajahi opsi Android.

Menggabungkan metode distribusi yang sangat tertarget dan teknik yang tidak terdeteksi telah menghasilkan tingkat infeksi yang sangat tinggi. Pendekatan lintas platform ini meningkatkan fleksibilitas malware, memberi pelaku ancaman alat yang ampuh yang dapat dengan mudah menargetkan beberapa sistem operasi. Metode ini memungkinkan penyerang untuk mengirimkan malware secara lebih efektif di berbagai perangkat, memaksimalkan jangkauan dan dampaknya.

 

 

Baca artikel lainnya: Malware Android Penguras Rekening Bank Ancaman Malware GenAI Palsu Malware Mengunci Browser Curi Kredensial Malware Android Kloning Data Pembayaran Smartphone: Antisipasi Malware dan Pelacakan Malware Zero CLick Pencuri Data Clouds Malware Bersembunyi dalam Gambar Tipuan DocuSign Malware Peramban Malware di Platform Hosting Media

 

Sumber berita:

 

Prosperita IT News